Sicurezza cloud-native 2026: cosa emerge dallo State of Cloud-Native Security Report di Red Hat

23 Marzo 2026

Gestire la sicurezza all’interno del cloud ibrido è un aspetto sempre più complesso. Il Red Hat 2026 State of Cloud-Native Security Report evidenzia che molte organizzazioni operano ancora con un approccio prevalentemente reattivo, che rende difficile mantenere continuità e coerenza nelle attività di protezione. Per migliorare la propria postura di sicurezza, i team devono identificare pratiche e policy fondamentali su cui basare la strategia, così da rendere la sicurezza un elemento strutturale della piattaforma.

Quasi tutte colpite, spesso per errore: perché gli incidenti non fanno più notizia

Dal report emerge un dato chiaro: gli incidenti di sicurezza sono ormai diffusi su larga scala. Il 97% delle organizzazioni dichiara di averne subito almeno uno cloud-native negli ultimi 12 mesi. Non si tratta solo di attacchi complessi o occasionali: spesso gli incidenti sono riconducibili a errori comuni, mancanza di attenzione o impostazioni scorrette.

Tra gli incidenti più frequentemente segnalati emergono:

Configurazioni errate di infrastrutture o servizi (78%): la principale causa di esposizione, spesso legata a errori manuali in ambienti complessi.
Vulnerabilità note: workload distribuiti con codice già riconosciuto come vulnerabile, che aprono finestre di rischio evitabili.
Accessi non autorizzati: un problema operativo persistente, che porta spesso all’esposizione di dati sensibili.

L’impatto non si limita all’IT. Il 74% delle organizzazioni ha rallentato o rinviato il rilascio di applicazioni nell’ultimo anno per ragioni di sicurezza. Inoltre, il 92% degli intervistati segnala conseguenze rilevanti, tra cui l’aumento del tempo dedicato alla remediation (52%), il calo della produttività degli sviluppatori (43%) e la perdita di fiducia da parte dei clienti (32%).

La sicurezza incide quindi direttamente su delivery applicativo e continuità operativa.

Molto proattivi sulla carta, meno nei fatti: la maturità che non c’è

Uno degli elementi più significativi emersi dal report è il divario tra la percezione di prontezza e l’effettiva esistenza di una strategia strutturata. A fronte di un 56% delle organizzazioni che definisce il proprio approccio quotidiano alla sicurezza come “altamente proattivo”, solo il 39% dispone di una strategia cloud-native matura e ben definita.

Il dato suggerisce che molte aziende, pur dichiarando un orientamento proattivo, operano ancora senza un’impostazione formalizzata. Circa il 22% delle organizzazioni non dispone di alcuna strategia strutturata.

Il risultato è un’adozione disomogenea dei principali guardrail di sicurezza, tra cui:

Identity and Access Management (IAM): adottato da circa il 75% delle organizzazioni.
Firma delle immagini container: implementata da circa la metà delle aziende.
Protezione a runtime: distribuita in modo frammentario, spesso basata su configurazioni predefinite.

I dati mostrano come la maturità organizzativa influenzi direttamente i risultati: le organizzazioni con una strategia definita adottano più frequentemente controlli avanzati e dichiarano livelli più elevati di fiducia nella sicurezza della supply chain software. Tra queste, il 61% si dice fiducioso nella propria capacità di protezione, contro percentuali inferiori tra le realtà meno mature.

Investimenti in revisione: meno strumenti isolati, più integrazione nei processi

Alla luce di queste criticità, le organizzazioni stanno ribilanciando le priorità di spesa per il 2026. Il focus si sposta da strumenti isolati verso integrazione e automazione della sicurezza nel ciclo di vita del software.

Tra le priorità di investimento per i prossimi 12-24 mesi figurano:

Automazione DevSecOps: oltre il 60% delle organizzazioni intende investire nell’automazione della sicurezza nelle pipeline CI/CD, con l’obiettivo di ridurre il rischio di errore umano.
Sicurezza della supply chain software (56%): verifica delle dipendenze open source e delle immagini container tramite SBOM e controlli di provenienza.
Protezione a runtime (54%): rafforzamento delle capacità di rilevamento e blocco in tempo reale di minacce attive, come cryptojacking o comportamenti anomali.

Anche la compliance assume un ruolo più centrale. Il 64% delle organizzazioni considera il Cyber Resilience Act (CRA) tra i principali fattori che influenzeranno gli investimenti in sicurezza nel 2026, evidenziando una crescente integrazione tra governance normativa e strategie tecnologiche.

AI senza regole: cresce l’adozione, resta il vuoto di governance

Nel 2026, l’intelligenza artificiale rappresenta un ulteriore fattore di complessità per i team cloud-native. Il 58% delle organizzazioni indica l’AI come elemento rilevante nella pianificazione della sicurezza, ma la governance procede a un ritmo più lento rispetto all’adozione.

Il report evidenzia una preoccupazione diffusa rispetto all’uso della generative AI negli ambienti cloud:

Il 96% esprime timori legati all’uso della generative AI.
I rischi principali includono esposizione di dati sensibili, shadow AI e integrazione di servizi AI di terze parti non adeguatamente sicuri.
Il 59% delle organizzazioni non dispone di policy interne documentate o framework di governance dedicati.

In assenza di regole chiare, l’AI può intervenire su configurazioni o flussi di sviluppo, amplificando criticità già esistenti, in particolare nei domini dell’identità e della supply chain.

Il nodo è la maturità: cosa separa le organizzazioni più resilienti dalle altre

La conclusione del report indica che il ritmo dell’innovazione cloud-native supera quello delle pratiche di sicurezza tradizionali. Per ridurre questo divario, è necessario passare da un approccio reattivo a uno strutturato e coerente.

Cinque indicazioni chiave per il 2026:

Definire una strategia formale: superare la gestione ad hoc degli incidenti e costruire un percorso strutturato verso un approccio proattivo.
Integrare guardrail e automazione: rendere la sicurezza una componente nativa della piattaforma, scalabile e integrata nei processi DevOps.
Dare priorità all’integrità della supply chain: introdurre firma delle immagini e scansione sistematica delle dipendenze software.
Chiudere il ciclo di feedback: integrare osservabilità e sicurezza per collegare i dati runtime al processo di sviluppo.
Governare l’uso dell’AI: definire policy e modelli organizzativi per l’uso controllato dell’intelligenza artificiale.

Nel complesso, i dati evidenziano come il fattore determinante non sia l’adozione di singoli strumenti, ma il livello di maturità nella gestione della sicurezza, con un divario destinato ad ampliarsi tra le organizzazioni più strutturate e quelle meno evolute, secondo quanto rilevato dal Red Hat 2026 State of Cloud-Native Security Report.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

iscriviti alla newsletter

Sicurezza cloud-native 2026: cosa emerge dallo State of Cloud-Native Security Report di Red Hat

Quasi tutte colpite, spesso per errore: perché gli incidenti non fanno più notizia

Molto proattivi sulla carta, meno nei fatti: la maturità che non c’è

Investimenti in revisione: meno strumenti isolati, più integrazione nei processi

AI senza regole: cresce l’adozione, resta il vuoto di governance

Il nodo è la maturità: cosa separa le organizzazioni più resilienti dalle altre

LASCIA UN COMMENTO Cancella la risposta

Intelligenza artificiale

Ignite 2025 ridisegna Azure AI: modelli, infrastruttura e governance per la prossima generazione di...

Tra Fan app e architetture integrate, Ibm porta l’AI in casa Ferrari

Private AI nel retail: sicurezza, performance e customer experience

Trend

Il Quantum Computing: la tecnologia che sta riscrivendo le nostre possibilità

Trasparenza e responsabilità: due fattori chiave nell’era dell’AI

Europa vs USA e Cina: la regolamentazione dell’AI come abilitatore insieme agli investimenti nel...